假Temu币空投利用ClickFix技巧安装隐蔽恶意软件

admin

假Temu币空投利用ClickFix技巧安装隐蔽恶意软件

作者：James Bentley
来源：Malwarebytes.com
引用：https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-temu-coin-airdrop-uses-clickfix-trick-to-install-stealthy-malware

更新于3月13日星期五：Temu发言人联系了我们，表示：“Temu没有发行任何加密货币、代币或数字资产——包括所谓的“Temu币”。任何声称来自Temu的空投、钱包索赔或加密货币提供都是欺诈性的，与我们公司无关。”

我们之前已经报道过ClickFix活动：虚假的CAPTCHA、虚假的Windows更新、诱导受害者将恶意命令粘贴到自己的机器上的技巧。现在我们确定了一项活动，它使用了ClickFix攻击中看到的初始步骤，但之后发生的事情有所不同，值得进一步调查。

这一切始于一个令人信服的假网站，宣传一个名为$TEMU的空投，这是一种使用知名购物平台TEMU名称的虚构加密货币。它以远程访问后门结束，该后门会与操作员联系并运行从互联网流式传输的指令，而不是将其本地存储，这使得传统防病毒工具难以检测。

同样的开头，不同的游戏

如果你阅读了我们之前对ClickFix的报道，你就会知道这个过程：一个看起来像安全检查的网页，指示按Win+R并粘贴某些内容，然后用户最终在自己的系统上执行了恶意命令。

这场活动的诱饵是一个精心制作的假网站，模仿$TEMU加密货币空投。它宣布“发现独家$TEMU空投”，包括一个看起来像合法加密项目标志和导航栏。根本不存在这样的币。该网站的存在纯粹是为了让访客点击一个假的“我不是机器人”复选框。

点击它会触发一个标题为“完成这些验证步骤”的模态，引导受害者通过Win+R打开命令提示符窗口，然后按Ctrl+V粘贴剪贴板上的内容，并按Enter键。

对于犹豫不决的人，有一个“视频说明”按钮，它会展开一个嵌入的屏幕录制，按顺序演示每个按键。这实际上是一种帮助台风格的教程，指导受害者执行攻击者的命令。在模态底部，一个假的reCAPTCHA徽章显示“验证ID：4963”，使其看起来像是一个合法的安全检查。这场活动与众不同的地方在于按下Enter键之后发生的一切。

首先，恶意软件识别主机

在感染链的早期，加载器收集基本的主机信息并将其发送到命令服务器。服务器返回的有效负载已经包含分配给受害者机器的唯一标识符。在解码的PowerShell阶段，这显示为变量，如$machine_id，它直接嵌入在发送到受感染系统的脚本中。

在返回的有效负载中嵌入唯一标识符允许攻击者从机器首次检查的那一刻起跟踪单个感染。由于这个标识符在到达受害者之前就被插入到脚本中，因此服务器可以为不同的系统生成略微不同的有效负载。

这比听起来更重要。安全公司维护着已知不良文件的共享数据库。当识别出恶意文件时，其指纹可以在几小时内添加到这些数据库中。如果攻击者为不同的受害者生成有效负载的不同版本，基于文件哈希的传统检测就会变得远不如有效，因为没有单个文件签名供防御者阻止。

无窗的房客

在完成配置后，该活动使用捆绑的Python运行时部署后门。这是数百万开发人员和学生在日常生活中使用的编程语言。它自带，无需管理员权限，并且通常不会作为传统安装应用程序出现。实际运行的版本称为pythonw.exe，其中“w”代表“无窗”。没有控制台、没有声音，任务栏上什么都没有。

之前记录的基于Python的ClickFix活动提供了执行固定任务的静态Python文件。这场活动似乎采取了不同的方法。每次隐藏的过程与服务器联系时，它会检索新的Python代码并在内存中直接执行，而不是将其作为持久脚本存储在磁盘上。

这种架构允许攻击者通过修改服务器提供的代码来更改恶意软件的行为。不同的受害者可以接收到不同的指令，而感染的功能可以在不更新受侵害机器上已存在的内容的情况下进行更改。

有了这扇敞开的大门，他们能做什么

由于服务器可以发送任何喜欢的Python代码，攻击者的能力在很大程度上取决于命令服务器提供的代码。在使用类似后门的活动中，已经观察到攻击者窃取浏览器凭据和会话cookie、记录按键、截取屏幕截图，并利用这个立足点到达同一网络上的其他机器。该活动还包括基础设施，在新的受害者检查进来的那一刻通过Telegram通知攻击者——尽管解码的有效负载中的调试标志被设置为禁用，这表明是一场正在积极开发的活动或故意的操作谨慎。

Python也便于伪装。许多企业安全系统将其列入允许未经审查即可访问互联网的受信任应用程序列表。一个发送数据外发的Python进程看起来，乍一看，就像是一个正在运行常规脚本的开发者。检测此类活动通常需要基于行为的监控，而不是文件签名扫描，这使得大多数安全工具难以检测。

ClickFix不断进化

ClickFix活动不断进化，因为其核心技巧完全绕过了技术防御。受害者自己执行了恶意命令。

今年早些时候，我们报道了攻击者如何从PowerShell切换到nslookup，因为安全软件开始检测原始技术。这场活动从不同的角度处理了相同的问题：它不是改变恶意软件的交付方式，而是试图确保没有稳定的文件被留下。

后门以动态方式接收指令，而不是将其存储在磁盘上，并且有效负载可以为每个受害者而不同。没有一致的文件进行分析，传统的基于文件签名的检测就少了很多可利用的内容。

如何保持安全

这里有一些关于如何避免成为受害者的ClickFix建议：

慢下来。不要急于遵循网页或提示中的说明，尤其是如果它要求你在设备上运行命令或复制粘贴代码。攻击者依赖紧迫感来绕过你的批判性思维，因此要小心那些催促你立即采取行动的页面。复杂的ClickFix页面增加了倒计时、用户计数器或其他压力策略，让你快速行动。

不要急于遵循网页或提示中的说明，尤其是如果它要求你在设备上运行命令或复制粘贴代码。攻击者依赖紧迫感来绕过你的批判性思维，因此要小心那些催促你立即采取行动的页面。复杂的ClickFix页面增加了倒计时、用户计数器或其他压力策略，让你快速行动。避免运行来自不受信任来源的命令或脚本。永远不要运行来自网站、电子邮件或消息的代码或命令，除非你信任来源并了解该行动的目的。独立验证说明。如果网站告诉你要执行命令或执行技术操作，在继续之前，请通过官方文档或联系支持人员进行检查。

限制命令的复制粘贴使用。手动输入命令而不是复制粘贴可以减少无意中运行隐藏在复制文本中的恶意有效负载的风险。

保护你的设备。使用带有网络保护组件的更新、实时防病毒解决方案。

了解不断发展的攻击技术。了解攻击可能来自意外的向量并不断发展有助于保持警惕。继续阅读我们的博客！

小贴士：你知道免费的Malwarebytes浏览器Guard扩展会在网站尝试将内容复制到你的剪贴板时警告你吗？

如果你怀疑自己受到了影响

然而，如果你已经过了那个阶段并且怀疑这项特定活动，以下是你需要检查的内容。

在%LOCALAPPDATA%\Programs\中查找一个名为Python3133的文件夹，这不是你安装的。这是恶意软件的Python运行时。

在%TEMP%中查找一个名为temp_settings的文件。它的存在是这项活动留下的跟踪标记。

在任务管理器中转到“启动”选项卡，查找从AppData或Program Files\Python3133位置运行的pythonw.exe。

更改重要账户的密码，并尽可能撤销活动会话。

指示性威胁（IOCs）

域名

• temucoin[.]lat

我们不仅报告威胁——我们还消除威胁

网络安全风险绝不应该仅限于头条新闻。通过下载Malwarebytes来保护你的设备，让威胁远离。